Door Anoniem: Zou het niet zo kunnen zijn dat ze de database hebben gebruikt voor de kortstondige opslag van de TLS-encryptiesleutels en ze nu voor de zekerheid het advies hebben gegeven om het TLS-certificaat te vervangen? Ik heb geen idee, maar op z'n minst had Zendesk het systeem zo gemaakt dat een "binnenkomende" private key onmiddellijk wordt versleuteld voordat deze ergens wordt opgeslagen (in theorie zouden ze dit ook daadwerkelijk kunnen doen, maar dat lijkt me heel sterk - gezien het ontbreken van de security-awareness die ik verderop beschrijf, en ook het feit dat je er "al" na 3 jaar achter komt dat je server gehacked is/was). En niet met een symmetrische sleutel, maar met een public key van Zendesk, waarbij de bijbehorende private key ver uit de buurt van internet facing systemen wordt gehouden (ter herinnering: wat je met een public key van een asymmetrisch sleutelpaar versleutelt, hun je uitsluitend met de bijbehorende private key ontsleutelen). Maar als de webserver gecompromitteerd is op het ...